Fabrizio Fiorini: obiettivo è migliorare la sicurezza informatica
Roma, 22 gen. (askanews) – “Il panorama normativo europeo in materia di sicurezza informatica è in continua evoluzione, con l’introduzione di regolamenti e direttive volti a garantire la resilienza e la sicurezza delle infrastrutture critiche. Tra queste iniziative, la Direttiva della Commissione Europea sulla resilienza operativa digitale, nota come DORA (Digital Operational Resilience Act), ha recentemente fatto il suo ingresso nel quadro normativo. Ma quali sono le relazioni tra la DORA e la NIS, la Direttiva sulla sicurezza delle reti e delle informazioni? La DORA, entrata in vigore nel gennaio 2023, è concepita per garantire che le entità finanziarie e le infrastrutture critiche siano in grado di affrontare e riprendersi da incidenti informatici e altre perturbazioni digitali. Il suo obiettivo principale è sviluppare un quadro di resilienza operativa digitale che integri la gestione dei rischi informatici nei processi aziendali. La Direttiva NIS, adottata nel 2016 e riveduta nel 2020 con la NIS2, si focalizza sulla sicurezza delle reti e dei sistemi informativi nell’Unione Europea. Essa stabilisce requisiti di sicurezza per operatori di servizi essenziali e fornitori di servizi digitali, imponendo loro di adottare misure di sicurezza adeguate e di segnalare incidenti che possano compromettere la continuità del servizio”. Lo spiega Fabrizio Fiorini, Docente in “Cyber-Security ed Information Privacy” nell’ambito del Master di II livello in “Applied Artificial Intelligence” istituito presso il Dipartimento di Ingegneria dell’Innovazione dell’Università del Salento.
Fiorini poi sottolinea: “Sia la DORA che la NIS perseguono l’obiettivo di migliorare la sicurezza informatica e la resilienza delle infrastrutture critiche in Europa. Entrambi i regolamenti sono orientati verso la protezione delle informazioni e la gestione proattiva dei rischi informatici. Un’importante distinzione tra le due normative riguarda il loro ambito di applicazione. Mentre la DORA si concentra principalmente sulle entità operanti nel settore finanziario, la NIS si applica a una gamma più ampia di settori, inclusi energia, trasporti e sanità. Tuttavia, le entità del settore finanziario potrebbero anche rientrare sotto l’ambito di applicazione della NIS, creando così sovrapposizioni significative. Entrambi i regolamenti includono obblighi di segnalazione per incidenti di sicurezza. La DORA richiede alle entità finanziarie di segnalare eventi critici, mentre la NIS impone normative simili per i servizi essenziali e i fornitori di servizi digitali. Questa sinergia può facilitare un approccio più coerente nella gestione degli incidenti informatici”.
“Un altro aspetto cruciale – prosegue Fiorini – è la necessità di collaborazione tra le autorità competenti per garantire una risposta efficace agli incidenti di sicurezza. La DORA presta particolare attenzione alla cooperazione tra le autorità di supervisione e le entità finanziarie, mentre la NIS promuove l’interazione tra i vari settori e le autorità nazionali. Tale collaborazione intersettoriale è fondamentale per una difesa cibernetica efficace. Con l’entrata in vigore della DORA, emerge un contesto normativo sempre più integrato che evidenzia l’importanza della resilienza operativa digitale. Le relazioni tra DORA e NIS non solo arricchiscono il quadro normativo complessivo, ma creano anche opportunità per una sinergia nella gestione dei rischi. Le organizzazioni devono quindi non solo rispettare i requisiti specifici di ciascuna normativa, ma anche riconoscere le interconnessioni e le opportunità di cooperazione che queste nuove regolazioni offrono nel panorama della sicurezza informatica. Negli ultimi anni, la crescente digitalizzazione delle infrastrutture critiche ha reso evidente la necessità di normative robuste in materia di sicurezza informatica e resilienza operativa. In questo contesto, la Direttiva sulla Resilienza Operativa Digitale (DORA) e la Direttiva NIS (Network and Information Systems) si sono affermate come fondamenta per la protezione delle entità operative essenziali. La resilienza operativa si riferisce alla capacità di un’organizzazione di prevenire, rilevare, rispondere e recuperare da incidenti informatici e altri eventi perturbatori. Con l’aumento delle minacce cibernetiche e la crescente interconnessione dei sistemi, è cruciale che le aziende non solo proteggano i loro dati, ma anche sviluppino processi adeguati per far fronte a eventuali interruzioni. La DORA, entrata in vigore nel gennaio 2023, si concentra sulla resilienza operativa digitale delle entità nel settore finanziario, inclusi banche, istituzioni di pagamento e fornitori di servizi di investimento. Questa normativa stabilisce requisiti rigorosi per la gestione dei rischi informatici, l’adozione di misure di sicurezza adeguate e la segnalazione tempestiva di incidenti. L’obiettivo è garantire una robusta capacità di recupero, minimizzando l’impatto delle interruzioni sui mercati e, di conseguenza, sull’economia. La Direttiva NIS, riveduta nel 2020 con la NIS2, si applica a operatori di servizi essenziali e fornitori di servizi digitali in vari settori, come energia, trasporti e sanità. Essa richiede alle organizzazioni di implementare misure di sicurezza adeguate e di segnalare gli incidenti significativi. Questo approccio ampio è fondamentale per proteggere le infrastrutture critiche e garantire la continuità operativa”.
“La vera sinergia tra DORA e NIS – racconta in conclusione Fiorini – si manifesta in vari modi, contribuendo a una gestione dei rischi più efficace e coordinata: Entrambe le normative mirano a proteggere le infrastrutture critiche da minacce cibernetiche e a garantire la resilienza operativa. Quando le aziende implementano strategie di sicurezza che soddisfano i requisiti di entrambe le normative, possono ottenere un approccio più solido e globale alla gestione dei rischi. Sebbene la DORA si concentri specificamente sul settore finanziario e la NIS abbracci una gamma più ampia di settori, vi è una significativa sovrapposizione. Ad esempio, molte entità finanziarie possono anche essere considerate come fornitori di servizi essenziali. Questa intersezione fornisce opportunità per sviluppare strategie comuni e ottimizzare le risorse, facilitando la condivisione delle informazioni e delle migliori pratiche. Entrambe le normative impongono requisiti di segnalazione per eventi significativi. La DORA e la NIS richiedono alle organizzazioni di comunicare tempestivamente le violazioni di sicurezza. Questa complementarità facilita un approccio unificato alla segnalazione degli incidenti e supporta le autorità competenti nel monitorare e rispondere in modo più efficace alle minacce. Le autorità nazionali e le agenzie di regolamentazione sono chiamate a collaborare in modo più efficace grazie alla DORA e alla NIS. Questa cooperazione può portare a un miglioramento della comunicazione tra settori diversi, facilitando lo scambio di informazioni e strategie di risposta agli incidenti. Creare reti di collaborazione tra le entità soggette a queste normative incoraggia l’adozione di misure di sicurezza più rigorose e la condivisione delle esperienze. La sinergia tra DORA e NIS rappresenta un passo significativo verso una gestione dei rischi più integrata e coerente nelle organizzazioni. Adottare un approccio unificato che soddisfi i requisiti di entrambe le normative non solo migliora la resilienza operativa delle entità, ma contribuisce anche a una maggiore sicurezza delle infrastrutture critiche in Europa. In un mondo in cui le minacce informatiche sono in continua evoluzione, la cooperazione tra questi due corpi normativi offre l’opportunità di costruire un ecosistema digitale più sicuro e resiliente per il futuro. Le organizzazioni, adottando un approccio olistico alla gestione dei rischi, possono non solo proteggere i loro interessi, ma anche garantire la sicurezza collettiva dell’intero sistema economico europeo”.